Benutzerpasswort vor Root geheimhalten?

[Schmolch]

Hallihallo!

Also bei mir ist folgende Situation:

Meine Mum macht ab und zu an meinem Rechner Onlinebanking.
Dazu start ich dann ganz einfach Galeon unter ihrem eigenen Account.
Jedenfalls sind ihre Zugansdaten für ihr Onlinebanking in Galeon abgespeichert so das sie diese nicht immer eingeben muß. Es kann also jeder der IHR Galeon startet auch auf IHR Konto zugreifen.
Das Problem ist jetzt, daß ich ihr Benutzerpasswort zwar nicht kenne, aber ich kann es ja jederzeit löschen.
Ich meld mich einfach als root an und mach "passwd Mum" "new password: ..." usw.. und kann dann ein neues Passwort festlegen.
Neulich hat sie das mitgekriegt und war gar nicht erfreut

Wie könnte man das besser machen?

[Larde]

Gar nichts.
Wenn sie ihr Paßwort vom Browser speichern läßt, kannst Du es root wohl immer nutzen. Schließlich brauchst Du nicht mal ihr Benutzer-Paßwort zu ändern, um als sie einzuloggen, dazu gibt es schließlich su -.
Außerdem hast Du als root Zugriff auf die Shadow-Datei, und ich würde ja wetten, daß Du mit nem guten Paßwort-Cracker wie John the Ripper ihr Benutzer-Paßwort in sehr kurzer Zeit rausfinden kannst (es sei denn, sie ist eine Mum mit vernünftigen Paßwörtern), ohne daß sie es mitkriegt.
Root ist die Macht!

Gruß,
Larde.
P.S. Ich hab auch schon mal John the Ripper über die Shadow-Datei in unserer Firma laufen lassen. Das witzigste Paßwort war "Adonis" für jmd, dem man es auch ansah... Naja, wir haben unsere User dann angehalten, bessere Paßwörter zu wählen. Nur um festzustellen, daß mein eigenes auch recht schnell geknackt war - ich hätte nie gedacht, daß das von mir gewählte und abgewandelte Paßwort auch über Wörterbuch-Attacke zu finden ist.
_________________
Someday this will be my home... http://moonage.net/
I'll make you a deal
I'll say I came from Earth and my tongue is taped

[Dimitri]

Hi,
eigentlich garnicht. Der Systemadmin (root) kann sowas eben. Umgekehrt: Was wäre wenn deine Mutter ihr Passwort vergessen würde, und Du es nicht zurücksetzen könntest?
Zumindest Mozilla kann die Passwörter noch mit einem Masterpasswort schützen. Das kann man zwar bestimmt auch löschen, ist aber noch ein bischen mehr Sicherheit.
Ansonsten: Passwörter nicht speichern. Das ist immer ein Risiko.

Dim

PS: Also User ist man dem Admin immer ausgeliefert. Egal wo Du bist.

[Dimitri]

Oh Fast Gleichzeitig *gg*
@Larde: In welcher Firma bist Du Admin, das Du sowas machen kannst? Oder habt ihr das vorher mit dem betriebsrat abgesprochen? Sowas sollte eigentlich zur sofortigen Kündigung führen. (und tut es bei uns auch)

Dim

[Larde]

Nein, sowas sollte nicht zu einer Kündigung führen, wenn ich Sicherheitschecks durchführen soll. Das ganze war eine einmalige Aktion, die nach einer Unterweisung stattgefunden hat.

Was interessieren mich sonst andere Paßwörter? Keine Sorge, ich bin kein "fascist admin". Im Gegenteil, ich bin viel zu sehr auf Seiten der User...

Im übrigen hat ein Admin die Pflicht, Schwachstellen in seinem System zu sichern. Ein Paßwort was gleich dem Usernamen ist, ist z.B. eine große Schwachstelle - so etwas sollte sogar crontab-mäßig gecheckt werden, würde ich behaupten.

Das Problem beim Einsatz von NIS ist ja auch, daß mitnichten nur der Admin nen Paßwort-Cracker mit der /etc/shadow füttern kann. Jeder andere User kann das auch. ypcat passwd. Wenn nicht der Admin andere User auf erratbare Paßwörter hinweist, wer weiß, wer sich von den Usern noch für fremde Paßwörter interessiert.

Immer ein Drahtseilakt,
Larde.
_________________
Someday this will be my home... http://moonage.net/
I'll make you a deal
I'll say I came from Earth and my tongue is taped

[Dimitri]

Hi,
da hast Du natürlich recht, das ein Admin das tun sollte. Und da die User davon wussten ist das ja auch in Ordnung.
Das mit der Kündigung war auch auf eine nicht genemigte crack Aktion bezogen.

Dim